Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\notepad.exe' C:\ГвТЯК№УГЛµГч.txt
- '<SYSTEM32>\rundll32.exe' url.dll,FileProtocolHandler \ГвТЯК№УГЛµГч.txt
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: jinfuhide.dat
Скрывает следующие процессы:
- <Полный путь к вирусу>
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\2910c.tmp
- %TEMP%\2889e.tmp
- <Текущая директория>\jinfuhide.dat
- %TEMP%\29812.tmp
- <SYSTEM32>\xulehlp.dll
- <SYSTEM32>\xilehlp.dll
- <Текущая директория>\Hook.dll
- %TEMP%\61286F9.res
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\jinfuhide.dat
Удаляет следующие файлы:
- %TEMP%\29812.tmp
- <Текущая директория>\jinfuhide.dat
- <Текущая директория>\Hook.dll
- %TEMP%\61286F9.res
- %TEMP%\2889e.tmp
- %TEMP%\2910c.tmp
Сетевая активность:
Подключается к:
- 'b.###ne.qq.com':80
TCP:
Запросы HTTP GET:
- b.###ne.qq.com/cgi-bin/blognew/blog_output_data?ui#############################
UDP:
- DNS ASK b.###ne.qq.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
